Rules File Backdoor: как защититься и почему это должно быть у вас в регламенте
👋
⏺ Недоверие к конфигам - основа всего: Файлы с правилами для модели должны проходить тот же контроль, что и код. Конфиг давно перестал быть «простым текстом» - это полноправный вектор атаки, который нужно ревьюить, хэшировать и проверять источник.
⏺ Делайте невидимое видимым: Zero-width, control-chars и странный Unicode обязаны подсвечиваться автоматикой. В CI/CD добавляются:
➡️ проверка на zero-width (U+200B–U+206F),
➡️ diff нормализованных Unicode-форм,
➡️ линтер скрытых символов.
Один U+202E способен менять логику сильнее, чем вставка кода.
⏺ Прерывайте цепочку заражения: Никаких «удобных rules.md» из gist’ов, форумов, чатов, npm-пакетов и рандомных GitHub-реп. Если автор неизвестен - конфиг считается вредоносным по умолчанию. Половина инцидентов начинается с копипасты.
⏺ Песочница для ассистента - мастхэв: AI не должен напрямую видеть сеть, файловую систему, переменные окружения и токены. Ограничения контейнера + proxy-песочница = минимизация последствий даже при заражённом rules-файле.
⏺ Отслеживайте поведение модели, а не только файлы: Необычные API-вызовы, лишние колбэки, попытки «запомнить» лишнее или вмешаться в код - это уже прямо сигнал. Для атак на правила нужен отдельный класс логов и алертов.
ZeroDay | #атака
Приветствую в мире цифровой безопасности!Продолжаем разбирать одну из самых неприятных атак на AI-ассистентов - подмену правил. Сейчас поговорим о защите.Один U+202E способен менять логику сильнее, чем вставка кода.
ZeroDay | #атака
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3🔥2❤🔥1
BBOT: автоматизируем разведку по-взрослому
👋
⏺ BBOT - рекурсивный интернет-сканер: собирает поддомены, проходит веб, вытягивает почты, параметры, делает скриншоты и расширяет площадь атаки почти без участия человека. Суть тут в том, что один запуск, и десятки цепочек внутри.
⏺ Как вообще работает: BBOT комбинирует пассивные источники, активный брут, NLP-мутации поддоменов и веб-скан. Нашёл новую точку - уходит глубже. В итоге цепочка получается похожа на мини-Spiderfoot, но быстрее и адаптивнее.
⏺ Установка:
⏺ Простой поддоменный скан:
⏺ Паук (emails, ресурсы, параметры):
⏺ Email-enum:
⏺ Максимальный прогон - всё сразу:
ZeroDay | #Инструмент
👋
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.
pipx install bbot
bbot -t evilcorp.com -p subdomain-enum
bbot -t evilcorp.com -p spider
bbot -t evilcorp.com -p email-enum
bbot -t evilcorp.com -p kitchen-sink --allow-deadly
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤2
Golden SAML позволяет атакующему…
Anonymous Quiz
21%
Выполнять пассивный перехват SAML-ассершнов без изменения трафика
46%
Генерировать валидные SAML-ассершны без доступа к сервисам федерации
7%
Подменять метаданные IdP прямо в браузере жертвы
26%
Перехватывать Kerberos-тикеты и конвертировать их в SAML-токены
This media is not supported in your browser
VIEW IN TELEGRAM
Приветствую в мире цифровой безопасности!
Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.
ZeroDay | #Подборка
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3
На AI Journey назвали три стратегических направления развития ИИ в кибербезопасности
👋 Приветствую в мире цифровой безопасности!
Поговорим о выступлении президента кибербеза Сбера Сергея Лебедя на международной конференции AI Journey. Он уверен, что современная кибербезопасность невозможна без использования искусственного интеллекта — это подтверждает опыт практически всех мировых лидеров.
⏺ Первое направление ― автоматизация реагирования. Вы никогда не узнаете, насколько хорошо вы защищены, пока вас не атакуют или пока вы не научитесь моделировать риск-события и на основе полученных данных совершенствовать защиту. Разумеется, для Сбера приемлем только второй вариант. Поэтому в банке активно разрабатываются мультиагентные системы на основе ИИ.
⏺ Второе – это автоматизированная безопасная разработка. Разработка без учетов киберрисков в современных реалиях, это все равно что прогулка по канату над пропастью с завязанными глазами ― шансы на положительный результат практически равны нулю.
⏺ Третье направление ― ассистенты и копайлоты на основе ИИ. Эти системы компенсируют недостаток знаний экспертов, недостаточную скорость получения и обработки ими данных, или и то, и другое.
ZeroDay | #безопасность
Поговорим о выступлении президента кибербеза Сбера Сергея Лебедя на международной конференции AI Journey. Он уверен, что современная кибербезопасность невозможна без использования искусственного интеллекта — это подтверждает опыт практически всех мировых лидеров.
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👏9❤3🔥2
Какой метод защиты от переполнения буфера предотвращает выполнение произвольного кода, запрещая выполнение данных в определенных областях памяти?
Anonymous Quiz
31%
ASLR
29%
DEP
26%
Sandbox
14%
WAF
😢16🔥4❤2👍2
Сбер открывает флагманские модели ИИ для проектов и локальных данных
👋 Приветствуем в мире цифровых экспериментов!
Сбер сделал доступными передовые модели для русскоязычных задач. Теперь компании и разработчики могут использовать их внутри своего защищённого контура, сохраняя конфиденциальность данных и повышая уровень безопасности.
⏺ GigaChat Ultra-Preview - самая мощная модель Сбера. Лучше DeepSeek V3.1 и GigaChat Max 2 в русскоязычных задачах. Подходит для бизнеса, аналитики, разработки и дообучения на своих данных
⏺ GigaChat Lightning - лёгкая, компактная и быстрая. Конкурирует с Qwen3-4B, по скорости сравнима с Qwen3-1.7B, но намного умнее и больше по параметрам
⏺ GigaAM-v3 — распознавание речи с пунктуацией и нормализациейять моделей, которые превращают голос в текст с пунктуацией, понимают акценты, спонтанную речь и даже музыкальные запросы.
⏺ Kandinsky 5.0 — генерация изображений и видео с поддержкой кириллицы
⏺ K-VAE 1.0 — сжатие визуальных данных для обучения моделей
✅ Сбер как надёжный партнёр: помогает интегрировать ИИ, защищает данные и даёт инструменты для безопасной работы внутри компании.
🗣 Все подробности на Хабр
ZeroDay | #статья
Сбер сделал доступными передовые модели для русскоязычных задач. Теперь компании и разработчики могут использовать их внутри своего защищённого контура, сохраняя конфиденциальность данных и повышая уровень безопасности.
ZeroDay | #статья
Please open Telegram to view this post
VIEW IN TELEGRAM
💩10❤6🔥1
Как я раскрыл формат адресной книги Radmin и автоматизировал импорт сотен машин
Автор стокнулся с задачей массово обновить список хостов для внутреннего инструмента - сотни IP, имён и настроек. Логичное решение тут взять экспорт из Radmin. Но программа упорно выдаёт данные только в собственный бинарный .rpb без документации, CSV или API. Пришлось открыть файл в hex-редакторе и разбираться, что внутри.
⏺ В статье разбираются структуры заголовка и записей, «магических» чисел, фиктивного заполнителя, который перестаёт работать уже после 128 записей, и странного таймстампа, который оказался временем с последней загрузки Windows.
Покажут, как по шагам автор восстановил формат RPB, написал анализатор и собрал утилиту для конвертации RPB ↔ JSON, чтобы больше никогда не вводить IP вручную.
ZeroDay | #Статья
Автор стокнулся с задачей массово обновить список хостов для внутреннего инструмента - сотни IP, имён и настроек. Логичное решение тут взять экспорт из Radmin. Но программа упорно выдаёт данные только в собственный бинарный .rpb без документации, CSV или API. Пришлось открыть файл в hex-редакторе и разбираться, что внутри.
Покажут, как по шагам автор восстановил формат RPB, написал анализатор и собрал утилиту для конвертации RPB ↔ JSON, чтобы больше никогда не вводить IP вручную.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🥴3👍2🔥2
Viper: платформа для редтиминга с автоматизацией и AI
👋
⏺ Viper - платформа для редтиминга, которая закрывает почти весь MITRE ATT&CK: управление имплантами, пост-эксплуатация, обход защит, автоматизация цепочек и даже встроенный LLM-агент, который подсказывает шаги и помогает принимать решения.
⏺ Работает на Windows, Linux и macOS, даёт удобный UI, граф переходов и больше сотни встроенных модулей, а свои модули можно писать на Python.
⏺ Развернуть всё можно буквально за пару минут - хоть в Docker, хоть локально. Дальше создаёте имплант, подключаетесь к сессии и запускаете модули: от credential dump до lateral movement. И да, уведомления и автоматические флоу тут тоже есть.
ZeroDay | #Инструмент
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.
# Развернуть через Docker
docker run -p 8000:8000 funnywolf/viper-rtp
# Локальный запуск
git clone https://github.com/FunnyWolf/Viper
cd Viper
npm install
npm run dev
# Посмотреть доступные модули
viper module list
# Запустить модуль пост-эксплуатации
viper module run credential-dump
# Сгенерировать имплант
viper implant generate --os windows
# Активные сессии имплантов
viper implant sessions
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥7👍4🔥2❤1
Какой признак наиболее точно указывает на возможную Golden Ticket атаку?
Anonymous Quiz
20%
Большое количество 4625 (неуспешных логинов)
47%
TGT с очень длинным сроком жизни
23%
NTLM-аутентификация вместо Kerberos
10%
Много событий о блокировке учётной записи
👨💻7👍3❤1🔥1
Service Mesh и mTLS: что реально защищает, а что - нет
👋
⏺ Что делает mTLS на самом деле: Он шифрует трафик между сервисами и проверяет, что с вами общается именно тот сервис, за кого он себя выдаёт. То есть защищает канал связи и подтверждает «кто есть кто». Но! На этом защита заканчивается. mTLS не проверяет, что сервис имеет право запрашивать конкретные данные. Это очень частое заблуждение.
⏺ Где возникает миф: Команда ставит Istio или Linkerd, включает mTLS - и думает, что теперь «всё в Mesh под защитой». На деле:
➡️ если злоумышленник взломал один под — он получает уже расшифрованный трафик,
➡️ Envoy-сертификаты лежат в памяти sidecar,
➡️ сеть шифруется, но внутренние разрешения не контролируются.
⏺ mTLS ≠ полноценный zero trust: Mesh проверяет «кто ты», но не проверяет «что тебе можно». Чтобы это заработало, нужны политики доступа.
Вот пример двух ключевых настроек:
⏺ В итоге: mTLS - нужная и важная часть защиты, но он отвечает только за безопасный канал. Настоящая безопасность появляется, когда поверх него добавляют:
• политики кто к кому может ходить,
• изоляцию подов,
• правила авторизации на уровне действий.
ZeroDay | #mTLS
Приветствую в мире цифровой безопасности!Сегодня разберёмся, как работает безопасность в Service Mesh и почему mTLS часто понимают не так.Вот пример двух ключевых настроек:
# Включаем строгий mTLS (обязательное шифрование)
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: strict
spec:
mtls:
mode: STRICT
# Разрешаем к сервису B обращаться только сервису A
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: limit-b
spec:
selector:
matchLabels:
app: service-b
rules:
- from:
- source:
principals: ["cluster.local/ns/default/sa/service-a"]
• политики кто к кому может ходить,
• изоляцию подов,
• правила авторизации на уровне действий.
ZeroDay | #mTLS
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤4👨💻3
RomCom атакует через фейковые обновления браузера
👋
⏺ Что произошло: SocGholish - тот самый «фейковый апдейтер» Chrome/Firefox, который показывают на взломанных сайтах. Жертва видит «обновите браузер», скачивает скрипт, и цепочка запускается.
⏺ Обычно этот загрузчик работает с группами вроде Evil Corp или LockBit, но впервые замечено, что он доставил RomCom-перегрузчик.
⏺ Как шла атака: вредоносный JS разворачивает reverse shell к C2, позволяет выполнять команды, тянет Python-бэкдор VIPERTUNNEL, а затем - DLL-лоадер RomCom, который подгружает Mythic Agent (постэксплуатация: команды, файловые операции, управление). От клика по «обновить браузер» до доставки полезной нагрузки меньше 30 минут.
⏺ Контекст: RomCom (Storm-0978 / Void Rabisu) связан с российской группировкой GRU Unit 29155 и активно работает по узким, заранее определённым целям. Здесь целью стала американская инжиниринговая компания.
⏺ Что интересно: полезная нагрузка доставляется только если домен Active Directory совпадает с нужным значением - атака точечная, не массовая. В этом инциденте цепочку удалось остановить.
ZeroDay | #история
Приветствую в мире цифровой безопасности!Расскажу про свежую цепочку атаки, где RomCom впервые использовал SocGholish (FakeUpdates), чтобы доставить Mythic Agent, и всё под видом обновления браузера.ZeroDay | #история
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍3😱3
LaLiga устроила интернет‑хаос: как борьба с пиратством положила пол‑Испании
👋
⏺ Как всё началось: у лиги было судебное разрешение на «динамические блокировки», можно мгновенно резать IP, с которых идут пиратские трансляции. Идея понятная, но исполнение… чуть менее.
⏺ Вместо точечных блоков LaLiga начала гасить целые диапазоны, включая адреса Cloudflare. В итоге люди просто открывали сайты — а те не работали. Никакого пиратства, просто побочный урон.
⏺ Что происходило в сети: под нож попадали CDN‑IP, за которыми сидят сотни легальных сайтов. Блокируют один IP - исчезают интернет‑магазины, новостные порталы, чьи‑то рабочие сервисы.
⏺ Провайдеры действовали формально: есть предписание - блокируем. А тонких механизмов фильтрации в инфраструктуре просто нет.
⏺ Масштаб бедствия: к лету заблокированы миллионы IP. Юзеры массово писали в поддержку провайдеров, VPN‑трафик улетел вверх, а Cloudflare уже официально жаловалась США на «вред третьим странам». LaLiga же стояла на своём: «боремся с пиратством, всё законно».
⏺ Что можно было сделать: проблема не в борьбе с пиратами, а в выбранном инструменте. IP‑блокировки в 2025 году - это как выключить рубильник в доме, чтобы погасить лампочку… Вместо этого можно использовать SNI‑фильтрацию, L7‑анализ или точечные судебные ордера на конкретные хосты, а не на сетевые диапазоны.
ZeroDay | #история
Приветствую в мире цифровой безопасности!Расскажу, как борьба Ла Лиги с пиратскими стримами превратилась в один из самых громких сетевых фейлов 2025 года.ZeroDay | #история
Please open Telegram to view this post
VIEW IN TELEGRAM
😁10🌚2❤1
Чтобы тебя не вычислили рекламщики: почему приватность - это паранойя
Даже если убрать куки, уйти от Google и включить VPN - рекламные сети всё равно могут узнать тебя по браузерному фингерпринту. Canvas‑рендеринг, шрифты, расширения, размер окна, язык системы - всё это складывается в уникальный «паспорт», по которому тебя находят снова и снова.
⏺ В статье о том, как именно собирают эти отпечатки, почему банальные меры защиты почти не работают, и какие браузеры вроде Brave или Mullvad реально умеют снижать отслеживание. В 2025‑м, чтобы остаться незаметным, мало просто спрятаться, приходится думать как параноик.
ZeroDay | #Статья
Даже если убрать куки, уйти от Google и включить VPN - рекламные сети всё равно могут узнать тебя по браузерному фингерпринту. Canvas‑рендеринг, шрифты, расширения, размер окна, язык системы - всё это складывается в уникальный «паспорт», по которому тебя находят снова и снова.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍2👎2
Infection Monkey: "безопасный червь", который проверяет вашу сеть лучше пентеста
👋
⏺ Infection Monkey - это открытая платформа для adversary emulation, которая имитирует поведение реального malware: распространяется по сети, подбирает логины, использует уязвимости, ворует креды и отправляет отчёт на C2-сервер Monkey Island.
⏺ Monkey комбинирует техники lateral movement и реальные эксплойты: Log4Shell, RDP, SSH, SMB, WMI, слабые пароли и даже Mimikatz.
⏺ Логика простая: запускаете «ослабленный вирус», смотрите, куда он смог проникнуть, и укрепляете защиту там, где она дала сбой. Это как вакцина: безопасный патоген помогает выстроить иммунитет сети.
⏺ Установка и запуск:
ZeroDay | #Инструмент
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.
# Клонируем проект
git clone https://github.com/guardicore/monkey
cd monkey
# Установка зависимостей (пример для Python-части)
pip install -r requirements.txt
# Запуск Monkey Island (C2-сервер)
docker run -p 5000:5000 guardicore/monkey-island
# Старт Infection Monkey агента
./infection_monkey --auto
# Запуск юнит-тестов
pytest
# Покрытие кода
pytest --cov-report=html --cov .
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
1🤔13❤4🔥3👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Мониторинг Linux на уровне ядра: понятное введение в eBPF + Cilium
👋
⏺ Вспомним, что такое eBPF: это способ перехватывать системные события (syscalls, сетевые пакеты, функции ядра), анализировать их и отправлять данные обратно в юзерспейс. Под это есть разные крючки: tracepoints, kprobes/kretprobes, uprobes и карты (maps) для обмена данными.
⏺ А теперь перехватим execve на Go через Cilium eBPF
1️⃣ Создаём проект:
2️⃣ Пишем BPF-программу, которая ловит вызов execve и отправляет PID, имя процесса и запускаемый файл. Она цепляется к tracepoint:
3️⃣ Go-часть: подключаемся к tracepoint, читаем события из perf-буфера и выводим в консоль:
После запуска вы увидите каждый процесс, который выполняет execve - от bash до systemd-сервисов.
ZeroDay | #EBPF
Приветствую в мире цифровой безопасности!Давай разберёмся, как вообще смотреть «внутрь ядра» без написания громоздких kernel-модулей. eBPF как раз про это: маленькие программы, которые запускаются внутри ядра через встроенную виртуальную машинуmkdir execve-tracer && cd execve-tracer
go mod init execve-tracer
sudo apt install clang llvm libbpf-dev
go get -t github.com/cilium/ebpf/cmd/bpf2go
SEC("tp/syscalls/sys_enter_execve")
int monitor_execve(struct syscalls_enter_execve_args* ctx) {
struct event evt = {};
evt.pid = bpf_get_current_pid_tgid() >> 32;
bpf_get_current_comm(evt.comm, sizeof(evt.comm));
bpf_probe_read_user_str(evt.filename, sizeof(evt.filename), ctx->filename);
bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &evt, sizeof(evt));
return 0;
}go generate
go build -o tracer
sudo ./tracer
После запуска вы увидите каждый процесс, который выполняет execve - от bash до systemd-сервисов.
ZeroDay | #EBPF
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍4
Как не отправить деньги «не туда»
👋
⏺ А попали вы не потому, что банки небезопасные. А потому, что главный разрыв происходит между людьми, когда реквизиты гуляют по мессенджерам.
⏺ Что реально ломается: мессенджер можно обмануть. Сообщение редактируют, номер подменяют, пересылают старый, делают фишинговую визитку, а предпросмотр ссылки могут перехватить. И всё, вы переводите деньги не тому, кому хотели. Это не атаки на СБП или банк. Это атаки «по дороге» - до того, как вы вообще открыли приложение.
⏺ Почему «просто номер» не всегда безопасно: номер - это просто цифры без защиты и без проверки. Вы никак не узнаете, что тот самый реквизит, который вы вставили, настоящий, а не подменённый кем‑то в чате или в буфере обмена.
⏺ Как решают проблему: защитная фраза. Отправитель создаёт свою короткую фразу, и она показывается на каждой визитке, которую он открывает. Фраза хранится на стороне отправителя, поэтому подделать её невозможно - даже если кто‑то подсунул фейковую ссылку, визитка просто не покажет нужный маркер.
⏺ Что это даёт: вы сразу понимаете, что визитка настоящая, реквизит правильный, а путь до банка не был подменён. Фишинг, ошибки и MITM‑подмены - сильно сложнее или полностью невозможны. Деньги по‑прежнему идут напрямую через банк, сервис их даже не видит.
ZeroDay | #фишинг
Приветствую в мире цифровой безопасности!Если вы хоть раз пересылали кому‑то номер для перевода - вы уже попадали в зону риска. ZeroDay | #фишинг
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤6🤬1🤡1